PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ebay-Mitglied hat angeblich Artikel nicht erhalten



SpamRam
13.11.2005, 12:01
Getarnt als ebay-Message:

Question from rivernick
I'm still waiting the package to arrive What happened? Please mail me ASAP or I will report you to ebay.

header:
01: Return-Path: <root [at] s001.puredns.nl>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 13 Nov 2005 xx:xx:xx -0000
05: Received: from unknown (EHLO s001.puredns.nl) [213.201.235.51]
06: by mx0.gmx.net (mx072) with SMTP; 13 Nov 2005 xx:xx:xx +0100
07: Received: from root by s001.puredns.nl with local (Exim 4.44)
08: ID: [ID filtered]
09: for mymail [at] gmx.net; Sun, 13 Nov 2005 xx:xx:xx +0100
10: From: aw-confirm [at] ebay.com
11: Reply-To: aw-confirm [at] ebay.com
12: MIME-Version: 1.0 Content-Type: text/html\r\n
13: Content-Type: text/html Content-Transfer-Encoding: 8bit\r\n
14: Subject: Question from eBay Member
15: Message-ID: [ID filtered]
16: Date: Sun, 13 Nov 2005 xx:xx:xx +0100
17: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
18: report
19: X-AntiAbuse: Primary Hostname - s001.puredns.nl
20: X-AntiAbuse: Original Domain - gmx.net
21: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
22: X-AntiAbuse: Sender Address Domain - s001.puredns.nl
23: To: pmoog [at] gmx.net
24: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
25: X-GMX-Antispam: 0 (Mail was not recognized as spam)
26: X-GMX-UID: [UID filtered]


"rivernick" ist nicht mehr Mitglied bei ebay.

Ich habe mit ihm keine Geschäfte gemacht.

Ich soll (natürlich!) auf die mail über einen Button antworten, der scheinbar (!) zu ebay führt. In Wirklichkeit landet man per redirect ganz woanders, nämlich in Korea.
http://mail.jangup.com/redirect/to/https:/signin.ebay.com/eBayISAPI.dllSignIn.php?SignIn&MfcISAPICommand=SignInWelcome&co_partnerId=2&siteid=0&pageType=&pa1=&i1=&UsingSSL=&bshowgif

Der Aufruf der Seite wird effektiv abgeblockt mit dem Netcraft-Toolbar, den ich daher nur empfehlen kann.

Download hier: http://toolbar.netcraft.com (kostenlos)

mink
14.11.2005, 23:19
wenn man ein bisschen mit den parametern spielt, kommt man auf ein 403
mit mailto: webmaster[at]pharm21.com

J. R.
26.11.2005, 15:42
In ähnlicher Form bei mir auch:

Question from jvsfl
Hello,

This is John with the camera. I noticed that you picked up the money, it has been 2 days and I haven't received the package, what's next? Are you scamming me ? Please respond ASAP!
Respond to this question in My Messages.


Man solls ja eigentlich nicht, aber ich habe mir die verlinkte Seite mal angeschaut und auf den "Sign in securely"-Button geklickt, ohne das Username- und Paßwort-Feld ausgefüllt zu haben. Ergebniss: man wird weitergeleitet auf die echte eBay-Einloggseite; auf Anhieb daran zu erkennen, daß der Username in dem entsprechenden Feld bereits drinsteht (bei mir jedenfalls).

SpamRam
13.01.2006, 21:01
Im neuen Jahr auf ein Neues!

Getarnt als Message eines ebay-Mitglieds:


Question from sydatkinson

Hello ,
The package you sent me didnt arrive yet. Respond ASAP or ill report you!
header:
01: Return-Path: <root [at] srv1.sonixnet.com>
02: X-Flags: 1001
03: Delivered-To: GMX delivery to mymail [at] gmx.net
04: Received: (qmail invoked by alias); 13 Jan 2006 xx:xx:xx -0000
05: Received: from sonixnet.com (EHLO srv1.sonixnet.com) [207.44.152.16]
06: by mx0.gmx.net (mx014) with SMTP; 13 Jan 2006 xx:xx:xx +0100
07: Received: (from root [at] localhost)
08: by srv1.sonixnet.com (8.11.6/8.11.6) ID: [ID filtered]
09: for mymail [at] gmx.net; Fri, 13 Jan 2006 xx:xx:xx -0800
10: Date: Fri, 13 Jan 2006 xx:xx:xx -0800
11: Message-ID: [ID filtered]
12: From: aw-confirm [at] ebay.com
13: Reply-To: aw-confirm [at] ebay.com
14: MIME-Version: 1.0 Content-Type: text/html\r\n
15: Content-Type: text/html Content-Transfer-Encoding: 8bit\r\n
16: Subject: Question from eBay Member
17: To: mymail [at] gmx.net
18: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
19: X-GMX-Antispam: 0 (Mail was not recognized as spam)

Natürlich:

Use the Respond Now button below to respond to this message. Der Button wird wirklich von ebay geladen; aber der Link dahinter (hier komplett, falls jemand ihn analysieren will) zeigt nach

http://mail.eturn.com.tw/~lu/signin.ebay.com/aw-cgi/eBayISAPI.dllSignIn.php?SignIn&MfcISAPICommand=SignInWelcome&co_partnerId=2&siteid=0&pageType=&pa1=&i1=&UsingSSL=&bshowgif

Die IP-Adresse im Header http://207.44.152.16 zeigt wie der angegebene Mailserver http://srv1.sonixnet.com nach USA

Was passiert, wenn man seine Daten eingibt, kann man sich wohl denken.

Meldung an ebay ist raus!

truelife
31.01.2006, 20:09
Your registered name is included to show this message originated from eBay. Learn more.
Question from eBay Member -- Respond Now

eBay sent this message on behalf of an eBay member via My Messages. Responses sent using email will not reach the eBay member. Use the Respond Now button below to respond to this message.


Question from sydatkinson

Hello ,
The package you sent me didnt arrive yet. Respond ASAP or ill report you!

Respond to this question in My Messages.

Thank you for using eBay!
http://www.ebay.com/

Marketplace Safety Tip
If this message is an offer to sell an item without winning it on the eBay Web site (including Second Chance Offers sent through My Messages) please do not respond to the sender. These "outside of eBay" transactions are unsafe and not covered by eBay purchase protection programs.

Never pay for your eBay item through instant wire transfer services such as Western Union or MoneyGram. These payment methods are unsafe when paying someone you do not know.
Is this email inappropriate? Does it violate eBay policy? Help protect the community by reporting it.
Learn how you can protect yourself from spoof (fake) emails at:
http://pages.ebay.com/education/spooftutorial
This eBay notice was sent to svenXXXXXX [at] gmx.de on behalf of another eBay member through the eBay platform and in accordance with our Privacy Policy. If you would like to receive this email in text format, change your notification preferences.


HTML enfernt; Eniac

exe
31.01.2006, 20:49
Bitte keinen HTML-Source posten. Außerdem fehlen die Kopfzeilen (Header) der Mail. :)

sis
31.01.2006, 21:00
Du hast Deine eMail-Adresse (sven***er2 [at] gmx.de) in Deinem Posting drin gelassen. Würde ich schnellstmöglich entfernen oder unkenntlich machen.

"sydatkinson" ist nicht mehr bei eBay angemeldet und hat nur ein einziges Mal am 20.05.1999 was bei eBay gehandelt. Der Account wurde wohl mal gehackt und die eBay-eMail wird jetzt wohl in gefälschter Form herumgeschickt. Antworten kann man nur über den "Respond Now" Button, der wiederum eine Webseite in Taiwan öffnet: http://mail.eturn.com.tw/~lu/...Taiwan[/URL].

SpamRam
31.01.2006, 21:06
siehe hier! (http://www.antispam-ev.de/forum/showpost.php?p=51183&postcount=4)

J. R.
01.02.2006, 17:14
Die Mails dieser Art, die bei mir in den vergangenen Wochen mit schöner Regelmäßigkeit eingetrudelt sind, verwiesen allesamt auf Seiten, die bei 100free.com gehostet waren (eine davon existiert sogar noch). Die Links sahen z. B. so aus:

http://ssiiggnniinn.100free.com/ws/eBayISAPIdllSignInfavoritenav=2sid2=ruproduct=pp=co_partnerId=2ru=i1=ruparams=pa geType=pa2=bshowgif=pa1=pUserId=errmsg=UsingSSL-runame-iteid=1/signin.htm (Achtung, die Seite gibts aktuell noch)

http://ssssiiigggnnniinn.100free.com/ws/eBayISAPIdllSignInfavoritenav=2sid2=ruproduct=pp=co_partnerId=2ru=i1=ruparams=pa geType=pa2=bshowgif=pa1=pUserId=errmsg=UsingSSL-runame-iteid=1/signin.htm

Über 100free.com kann ich nur sagen, daß die äußerst phisher-freundlich zu sein scheinen - bis die ersten Seiten dieser Art verschwunden waren, hats `ne Weile gedauert. Wenn man denen schreibt, kann man also ruhig sofort die ganz dicke Keule auspacken und damit drohen.

exe
01.02.2006, 18:33
http://ssiiggnniinn.100free.com/ws/eBayISAPIdllSignInfavoritenav=2sid2=ruproduct=pp=co_partnerId=2ru=i1=ruparams=pa geType=pa2=bshowgif=pa1=pUserId=errmsg=UsingSSL-runame-iteid=1/signin.htm (Achtung, die Seite gibts aktuell noch)
Diese URL funktioniert wunderprächtig hiermit: http://www.phishfighting.com/ :D :D :D